Все швейные фабрики и розничные сети хотят открыть интернет-магазины. Что правильно. Их руководители думают, что это то же самое, что продажи в офлайне, только не надо платить за аренду и нужно подключить систему онлайн-платежей. Да, но... нет. Безопасность электронных платежей должна быть стократно выше, так как возможностей у мошенников больше, а вернуть деньги, неправильно полученные или уплаченные, сложнее.
Если нет времени читать.
Платежные сервисы и банки ищут ответ на вопрос, как увеличить безопасность, не теряя при этом конверсии. Но что для конверсии хорошо, то для безопасности вредно, и наоборот. Тем не менее даже малому бизнесу нужно иметь альтернативные способы оплаты для конечных покупателей. Бонус — комиссии платежных сервисов, собранные в одном месте. И новости о запуске системы быстрых платежей.
До сих пор в магазинах одежды самым популярным цифровым средством расчета остаются кредитные и дебетовые карты. За ними следуют платежные сервисы «Яндекс.Деньги», WebMoney, приложения Apple Pay, AliPay, Amazon Pay, с августа российская розница включится в Систему быстрых платежей.
В ЧЕМ АЛЬТЕРНАТИВНОСТЬ?
Если кратко, то альтернативные платежные сервисы — это платежи, в которых для перевода денег используются не кассы, а защищенные интернет-каналы. А традиционные системы — это платежи наличными, банковским переводом, наложенным платежом или почтовым переводом.
У альтернативных платежных сервисов уже выделилось несколько направлений:
- мобильные кошельки — «Яндекс.Кошелек», «Киви», WebMoney, Google.Wallet, «РБК.Money»;
- мобильные приложения — Apple Pay, Google Pay, Samsung Pay:
- платежные системы онлайн-ритейлеров — Amazon Pay, AliPay;
- P2P-переводы — Western Union, «Корона», «Юнистрим»;
- интернет-эквайринг, оплата переводом из личного кабинета банка («Сбербанк.Онлайн»).
Это у нас, а если вы хотите торговать с Европой, то стоит помнить, что там покупатели предпочитают другие платежные сервисы: GiroPay, Ideal, SOFORT. Если планируете торговать с Китаем, то вам нужно принимать платежи через WeChat.
Правила обращения электронных денег у нас определяют два основных документа:
1) Федеральный закон №161 «О национальной платежной системе РФ» 2011 года.
2) PCI DSS (Payment Card Industry Data Security Standard) — стандарт безопасности данных индустрии платежных карт. Стандарт разработан системами Visa и MasterCard. Любая организация, планирующая принимать и обрабатывать данные банковских карт на своем сайте, должна соответствовать требованиям PCI DSS. Стандарт — это 12 требований по обеспечению безопасности данных о держателях платежных карт.
В ЧЕМ ПРОБЛЕМА?
Для предпринимателя такой выбор способов оплаты становится палкой о двух концах. Покупатели хотят покупать быстро. Хотят, чтобы онлайн-платежи были безопасными. Хотят иметь выбор у одного и того же продавца: сегодня я плачу телефоном, завтра — из личного кабинета, а послезавтра — из мобильного кошелька. И не хотят заполнять анкеты, проходить верификацию и иными способами доказывать, что они — это они. 55% потребителей обеспокоены возможной кражей своих данных и до 71% клиентов хотят дополнительных уровней безопасности при проведении электронных платежей и выплат. И те же самые люди говорят, что им сложно разобраться в системах защиты, если нужно сделать больше двух действий.
Количество интернет-магазинов, подключивших платежные сервисы, составляет около 3%. Среди причин отказа — необходимость регистрации в платежном сервисе, отсутствие технических возможностей у банка, предоставляющего магазину услугу интернет-эквайринга, непонимание экономической эффективности, нежелание менять шаблоны платежных страниц.
И тут у владельца магазина одежды возникает три сложности. Во-первых, обеспечить безопасность удаленных платежей без сложной процедуры подтверждения личности технически непросто. Но это хотя бы головная боль не владельца магазина, а банка или финансового сервиса. Во-вторых, каждому платежному сервису нужно что-то «отстегнуть» — и некоторые из них берут в качестве комиссии не десятые доли процента, а целые проценты. В итоге набегает приличная сумма. В-третьих, у каждого сервиса свой размер комиссий, свои ограничения по размеру платежа, свои условия вывода денег и свои условия зачисления и списания средств. С кем-то нужно заключать договор, у кого-то достаточно зарегистрироваться в системе, и нужно сильно попотеть, чтобы просто разобраться в особенностях сервисов. И взгрустнуть, вспомнив про новые правила систем Visa и Mastercard, которые подразумевают немалые штрафы для тех клиентов, у которых объем отказов от покупок за месяц превышает 2%. А возвраты одежды в интернет-магазинах до сих пор колеблются в диапазоне 30%. Хоть не принимай платежи. Но можно делегировать право хранения клиентских данных и обеспечение безопасности, если заплатить одному из агрегаторов — «Робокассе», Ekwid, Best2Pay, «Яндекс.Кассе», чтобы подключили сразу ко всем нужным платежным системам. Будет удобнее, но не дешевле.
Сейчас, по данным Ассоциации компаний интернет-торговли (АКИТ), безналичный способ оплаты покупатели используют в 60% случаев, треть их них выбирают бесконтактные способы оплаты (все бесконтактные платежи по умолчанию альтернативные). В итоге комиссия по эквайрингу увеличивает цену товара на 1,5% у крупных ритейлеров и до 2,5% в небольших магазинах. Но, по прогнозам Национального агентства финансовых исследований (НАФИ), в 2020 году больше половины россиян откажутся от наличных при покупке в магазине.
Покупатели хотят, чтобы магазин был похож на комбайн по обработке платежей,
способный предоставить широкий набор способов оплаты
ЧТО ХОРОШЕГО В АЛЬТЕРНАТИВНЫХ ПЛАТЕЖНЫХ СЕРВИСАХ?
Во-первых, это удобно покупателю — ему не надо думать, где, когда и чем платить. Где угодно, как угодно, чем угодно. А убедить покупателя сделать легкое движение кошельком сейчас непросто, и, чем шире у клиента выбор способов оплаты, тем выше вероятность покупки.
Во-вторых, скорость — платежи проводятся моментально. В национальной Системе быстрых платежей (СБП), которая, как уже упоминалось, в ритейле начнет работу в августе 2019 года, предусмотрено 15 секунд на обработку одной транзакции (банковские переводы, идущие два — четыре дня, кажутся мамонтами).
В-третьих, комиссия все-таки ниже банковской.
В-четвертых, безопасность, худо-бедно, обеспечивается — каждый платеж сопровождается СМС-уведомлениями и СМС-подтверждениями.
В-пятых, простота — покупателю не нужно заполнять формы, при последующих покупках магазин его «узнает».
Хорошая новость: в тестовом режиме в Системе быстрых платежей уже работает 12 банков, обсуждается присоединение еще 40. Комиссия для финансовых организаций по переводам через СБП в 2019 году отсутствует, с 2020 года она составит от 0,5 до 3 рублей и будет взиматься как с банка-отправителя, так и с банка-получателя.
Принимать альтернативные платежи нужно, потому что покупателям это удобно. Чем шире у клиента выбор способов оплаты, тем выше вероятность покупки. Но за обработку платежей придется платить. И помните, что баланс безопасности и конверсии пока не достигнут. Либо просто и небезопасно, либо долго, но надежно.
НА КАКОМ ЭТАПЕ ПЛАТЕЖА ЕГО НУЖНО ЗАЩИЩАТЬ?
Правильный ответ — на всех: и при сборе данных, и при их хранении. В том числе и при хранении данных не только пользователей, но и персонала (один из банков Мальты во время рождественских распродаж потерял 13 млн евро, потому что мошенники в Санкт-Петербурге считали с магнитной карты сотрудника банка его данные и через несколько месяцев добрались до учетных записей клиентов и ключей. Началось все с того, что сотрудник в магазине расплатился картой, а у магазина были не до конца настроенные системы защиты, поэтому, заботясь о своей безопасности, вы приносите пользу всем. Украсть учетные данные могут и у ваших поставщиков: тех, кто занимается контентом, SEO, внешней бухгалтерией, у IT-администраторов-аутсорсеров). Украсть могут при вводе данных нового пользователя, при подтверждении платежной операции.
Наличные негигиеничны, но с ними человек чувствует себя счастливее.
КАК СДЕЛАТЬ ПЛАТЕЖИ БЕЗОПАСНЫМИ?
- Начинается защита с хорошего антивируса — на всех устройствах, в том числе на личных устройствах сотрудников, если они подключают их к общей сети.
- Если у вас интернет-магазин, установите SSL-сертификат на ваш сайт или интернет-магазин. Это обеспечит переход на HTTPS, повысит позиции вашего сайта в поисковых системах, а также защитит транзакции на вашем сайте.
- Обязательно имейте систему разграничения прав доступа и настройте ее так, чтобы полная информация была только у гендиректора и главбуха, а остальные получали бы только частичный доступ.
- Требуйте от хостинг-провайдера, чтобы он поддерживал регулярное резервное копирование и вел журналы действий.
- Выбирайте СМС с предусмотренным по умолчанию блокировщиком атак.
- Не храните критичные данные (например, CVV, CVC банковских карт), а те данные, которые храните (адрес пользователя), шифруйте при хранении.
- Если у вас предусмотрено создание личного кабинета покупателя, то вам нужна парольная политика: либо создание сложных паролей (буквы с цифрами в разных регистрах, например Gnnb7Kl09+), либо система одноразовых паролей, либо аутентификация через социальные сети. В качестве стандарта предусмотрите смену паролей персонала один раз в полгода (администраторам — раза в месяц).
- Используйте антифрод-систему, систему предупреждения о подозрительных действиях (к примеру, о множестве операций с одного IP или о смене реквизитов доставки). Есть отечественные, есть зарубежные разработки. Например, ECOMMPAY является разработчиком антифрод-решения FraudStop. Платеж оценивается по сумме, географии, типу устройства, с которого происходит оплата, и множеству других аспектов. Транзакции, признанные мошенническими, блокируются автоматически, подозрительные — отправляются в постмониторинг. На этом этапе персональный риск-аналитик проверяет транзакции вручную.
КОМИССИИ ПЛАТЕЖНЫХ СЕРВИСОВ
Если необходимо снизить комиссию, а оборот компании составляет менее 100 тысяч рублей в год, то можно воспользоваться сервисом «Яндекс.Платежка» (комиссия 0%, подходит для физических лиц).
Чем больше у клиента выбор способов оплаты, тем выше вероятность покупки — это факт. А дальше все зависит от того, что для вас является приоритетом — безопасность (двойная аутентификация, сложные пароли, отказ от транзакций, если клиент заходит с неизвестного устройства, гарантированная защита и вас, и клиента), конверсия (легкие пароли, аутентификация через соцсети), накопление данных о клиентах (тогда сами занимаетесь обработкой платежей, тратя чуть больше времени и сил на проверку клиента и его намерения купить), экономия усилий на расчетах (отдаете заботу о безопасности платежным агрегаторам, можно еще курьерским службам и «Почте России»).
Вот так одна кнопка «Оплатить» превращается в большую систему сдержек и противовесов.
Мы намеренно не раскрыли вопрос о биометрических платежах через подтверждение операций сканированием пальца или радужной оболочки, потому что пока в сообществе не раскрыт вопрос о принципиальных ограничениях системы, защищающих граждан от проникновения в частную жизнь.